Infrastructure à Clé Publique (PKI Public Key …lig-membres.imag.fr/donsez/cours/pki.pdf ·...

Infrastructure à Clé Publique(PKI Public Key Infrastructure)

Didier DONSEZUniversité Joseph FourierIMA –IMAG/LSR/ADELEDidier.Donsez@imag.fr

��

01/06/2002

Rappel sur la certification

� Besion de confiance sur ce que pretend être le correspondant

� Solution� ��

��

01/06/2002

Quelques termes

� Certification Authority (CA)� ��

� Registration Authority (RA)� ��

� Certificate Revocation List (CRL)� ��

� ��!�� "�� #�"�$

� Certificate Repository� ��

� Certificate User� �� %��

01/06/2002

Motivation

� Usage� &�'��

� ''

� '()&)*�+�,�-

� � ��'��+.��"�.��'��"��/"�$-

� 0� '��$

� Formats et Types de certificat� /123��&/

� �,�

� '��&('4'&

01/06/2002

Que contient un Certificat ?

� Numéro de Série� Identité du porteur (owner)� Identité du certifieur émetteur (issuer)� Période de validité� Classe du certificat� Clé Publique du porteur

� ��5��"�� "�$

� Signature� ��5��"�� "�$�

� Auto-Certification� ��+�� 6��-

01/06/2002

Gestion des certificats

� Génération� ��'

� 7��5��

� ��

� Publication� �� 4��+��

� Vérification� �5�%��

� Renouvellement� Suspension� Révocation

� ��"�*��#��"�$

� �6 �8��

01/06/2002

CSP (Certification Practices Statement)

� Procédure d’établissement de l’identité du porteur� ��9�� "�$

� Dépend de la classe de certificat

01/06/2002

Hiérarchie de CA

� Délégation de la certification

01/06/2002

Chaîne de Certificats et Vérification

01/06/2002

Chaîne de Certificats et Vérification

Vérification impossible si le RootCAn’est pas joignable :

Pb de la tolérance aux pannes

01/06/2002

Cross-Certification

� CAs (Sub ou Root) qui se font mutuellement confiance dans leur domaine de confiance

MIT MIT

ABC Co. ABC Co.

MarketingMarketingResearchResearch

XYZ Co. XYZ Co.

LondonLondon NYCNYCH.R.H.R.

CorporateCorporateSalesSales

LCSLCS

Sloan Sloan

01/06/2002

Génération de la paire de clé

� Par le client� ��%��#

� �� "�4�� #�

:��;��5��

� ��<�<��

� Par le CA� ,��=��

� ��5��+�� -� ��

� 7��

� >��

01/06/2002

Certifying Authority

� Public� )#��?<-

� @��"�>5�A��"�*��"�B��$

� *��0��8� ��+��"��5�� "�'�,*)-

� ��+@��"�)��"�0��>��"�,��-

� Privé� )��8�� #�� 5��

� ��)��'��+ ��- "�:�� +AAA��-"�&4/<��&�+� C<�D�� C��-

01/06/2002

Certificats

� X509� E��5��#5��5��

� ��<��

� &4�F�/122�4E�+��-

� �'��+��'��-

� PGP� G H��>��I�F��5��+��C��-

� ��!�� +D�#7� �-

� &4�F�� +��4E'��!��-

� SPKI/SDSI� '��E��5��#

� &4�F� ��+��"��-

� �� '��+��-

� SPKI without name (anonymat)� ��5�J��5��#�5��5��"��D<�<��9��

� &4�F��D�#��5��5� ��+��-

� SPKI/SDSI k-of-n Subject� �� 9��+��K��-

� @�� D��5��+� � ��-

01/06/2002

Key Recovery

� M of N� E��

� &��)��

01/06/2002

Oliver Rose

EdMonica

PGP : Web of Trust

� La confiance sur l’identité est établie par plusieurs utilisateurs reconnus de confiance� �� 5��

01/06/2002

SPKI (Simple PKI) etSDSI (Simple Distributed Security Infrastructure)

� Motivation� '��&

� &*>0�60��LM3L

� Doc� 5��8((AAA��#��(��D�(

� 5��8((�5�#�� (N��(� ��OO�5��

01/06/2002

Standards PKCS« Public-Key Cryptography Standards »

� ensemble de standards pour la mise en place des IGC, coordonné par RSA

� définissent les formats des éléments de cryptographie :� *��'E�O

� ��'�PO86'��#��5#'��

� &��'�PL��'�PQ

� ��'�PR84��<7�� #��'��

� ��'�P18��A <B�� #��5#�'��

� ��'�PM8*C�� <��'#��C

� ��'�PS8�#��5��)��'#��C

� ��'�PT8��<��#�&�� '#��C

� ��'�P38'�� >#��'��

� ��'�PO28�� 6��'#��C�'��

� ��'�POO8�#��5��>D�� &��'��

� ��'�POL8��&��*C�5��'#��C'��

� ��'�POR8*��#��5#'��

� ��'�PO18�#��5��>D�� &��0��'��

� Voir http://www.rsa.com/rsalabs/pkcs/

01/06/2002

Trusted Web Services

� Motivation� ,�� &�� 5��

/) ��':��

� *�� #��C��'E�O

� Standards� /�)'�/) ��#�)��'��

� 5��8((AAA�C��(CD��

� B��

/) �4��'��5��8((AAA�AR��(>6(C�� <��(

/) �4��*��#��5��8((AAA�AR��(>6(C��<��(

01/06/2002

XKMS - XML Key Management System

� Motivation� 6�� &�+��&/"�� )��'��"�:�'�"��-�� /) ��':��

� Définit les messages de requête et de réponse pour� 6��+��-��

� 6��+��A-��

� @�� +�� -��+�C��"��6 "�:�'�"��-

� 6��+��D�-��+�6 -

� Basé sur XML Signature & XML Encryption� W3C

� &��

� /�)'�/) ��#�)��'��

� 5��8((AAA�C��(CD��

� ��&�.��

� .'6�O2Q�/) �>��'��&�

01/06/2002

XKMSExemple de message de révocation

� ��

�� ! " # $% " � �

�& ��

�' ��

�� ( ) �� ) ��*�� ( ) ��

�� + � �� + �� *� ��

��,� �� - - �*�,� ��

�*' ��

��

�' ��. �' �� /& ( �0( 1 �2�*' ��. �' ��

�*��

�& ��

�� 1 �� 3 ) � ��*� �1 �

�*& ��

01/06/2002

XKMSExtension

� X-KRSS et CMS

� X-BULK (Baltimore)� �� '&)"� �� "�$

� )��8��5�

01/06/2002

Java et PKI

� API Java� .��#��5#�*C��+.�*-

� ��.�*

� .��'��'�D��*C��+.''*-

� '' (> '

� API Java for XML� .'6�O2Q�/) �>��'��&�

� .'6�O21�/) �4��'��&��

� .'6�O2M�/) �4��*��#��&�

01/06/2002

Carte à puce PKI et CMS

� Cartes PKI� �� #��5��

� +��-

� �� 8�,��'��" �#��'��"�$

� �� &�� .�� D��javacard.security.* javacardx.crypto.*

� OCF� ��&�� '��

� CMS (Card Management Services)� &��

� *C��/�)'�+*��-

01/06/2002

ISAKMP

� ISAKMP « Internet Security Association and Key Management Protocol »� E��5��

� U�5�� 5��

� �� 5��:�D��#��

� V� ��&�*�G�� I

01/06/2002

Outil : OpenSLL

� Génération de la paire de clé et d’un certificat� � � � � � ��

� � � � � � �� !� � � ��

� � � � � � �� " � # �!� � � ��

� Directives pour mod_ssl d’Apache$ $ % & � � �'� � � ( �� ) � �)�� )� � � * � ) � � ')� � �� )� � ��

$ $ % & � � �'� � � + � � ( �� ) � �)�� )� � � * � ) � � ')� � �� )� � ��

01/06/2002

Outil : GnuPGP

� Génération, Signature, Chiffrage� � � �� !� � �

01/06/2002

Import de Certificats dans les NavigateursMS Internet Explorer

01/06/2002

Import de Certificats dans les NavigateursNetscape Communicator (4.x)

01/06/2002

Import de Certificats dans les NavigateursNokia Mobile Internet Toolkit (WIM)

01/06/2002

Bibliographie

� PKI : Public Key Infrastructure� 5��8((AAA��( ��( ��(��(��#(�D��5��

� 5��8(( ��( ��(��(��#�5��

� 5��8((AAA��(��(A�(�� C�5��

� 5��8((AAA��5�A��(

� 5��8((AAA��( ��(9��(��5��

01/06/2002

Bibliographie

� http://csrc.nist.gov/pki/documents/welcome.html

� http://www.itu.int/

� http://www.itu.int/search/wais/Macbeth/#HowtoSearch� http://www.mtic.pm.gouv.fr/dossiers/documents/lat/annuaires.shtml

� http://www.ietf.org/rfc/rfc2251.txt

� http://www.certplus.com/� http://www.matranet.com/products/index.html

� http://www.ii.atos-group.com/francais/

� http://www.gemplus.com/french/index.htm� http://www.certificat.com/

� http://www.scssi.gouv.fr/

� http://www.mtic.pm.gouv.fr/dossiers/documents/MTIC_certification_et_icp.pdf� http://www.counterpane.com/pki-risks.html

Infrastructure à Clé Publique (PKI Public Key …lig-membres.imag.fr/donsez/cours/pki.pdf ·...

Documents

Infrastructures à Clefs publiques Public Key Infrastructure (PKI) Stéphane Natkin 2006

Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2

Renaissance PKI / Séminaire Clusis 2003

Utilisateurs de - PGP

Sécurité des communications & PKI Philippe MANONVILLER Philippe POCOBELLO

Tivoli Public Key Infrastructure - IBMpublib.boulder.ibm.com/tividd/td/PKI/SH09-4529-03/... · ¶ PKI (Public Key Infrastructure) F/Nm8

WS WJ 1 GJ 8 l - formation.linagora.com · LinShare et LinPKI ... partage de fichiers sécurisé Cryptographie et PKI.....36 Installation de la PKI ... administration de serveur Web

Strong Authentication with PKI

PKI (public key infrastructure) - Max Planck Societyppbwiki.rz-berlin.mpg.de/uploads/Main.HomePage/PKIamFHI.pdf · 2020. 3. 26. · Mai 2015, Bilder: “Mehr Sicherheit durch PKI-Technologie”,

Lego MindStorms Didier Donsez - imag · 12/12/2009 Didier Donsez, Lego MindStorms, 2002-2009 2 Motivation Histoire Né du projet « Programmable Brick » du MIT MediaLabs (95) Commercialisation

Renaissance Pki Maret

Mairies communes du Pays de Fouesnant --php8ui pki

Public Key Infrastructure (PKI) & Authentification forte dans un domaine Windows 2000

Programmation Réseau en Java - LIG Membreslig-membres.imag.fr/donsez/cours/javareseau.pdf · 10/08/2006 D. Donsez, 1999-2006, Programmation Réseau en Java Les API Réseau de Java

Cryptographie avec PgP 9 - Dsfc

Integration OpenCA W2k PKI

OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un secret

Architecture des Réseaux - LIG Membreslig-membres.imag.fr/donsez/cours/reseaux.pdf · Didier Donsez, 1996-2002 1 Architecture des Réseaux Didier DONSEZ Université Joseph Fourier

Sécurité des réseaux Certificats X509 et clés PGP

PKI par la Pratique